Sicher & Anonym

Neues UEFI Firmware-Rootkit CosmicStrand

Das von Kaspersky gefundene Root-Kit ist anscheinend bereits seit Ende 2016 im Einsatz und wurde bisher hauptsächlich auf Rechnern von Privatpersonen entdeckt.

Ein Rootkit ist eine besondere Art der Malware, welche sich tief in das System verwurzeln kann und deshalb für Sicherheitssoftware, nur schwer bis gar nicht erkennbar sind. Für die Angreifer scheint es auf den ersten Blick ein großer Vorteil zu sein, jedoch ist für die Entwicklung eines solchen Rootkits ein hohes Know-how nötig und selbst kleine Fehler führen zum kompletten Absturz des befallenen Rechners. Kaspersky rechnet jedoch damit, dass in der kommenden Zeit immer mehr Angreifer dieses Know-how erreichen und die Zahl der Rootkits steigt.

CosmicStrand betrifft ASUS und Gigabyte Motherboards

Bei CosmicStrand handelt es sich zudem um ein Firmware Rootkit und ist in den befallenen Maschinen in den Firmware-Images von Gigabyte und ASUS Motherboards gefunden worden. Wie die Infizierung stattgefunden hat, ist nicht bekannt. Jedoch besteht der Verdacht, dass es eine Sicherheitslücke in den H81-Chipsätzen gibt.

Durch die Modifikation der Firmware wird beim Systemstart von Windows eine bösartige Software installiert und ausgeführt. Da dieser Vorgang bei jedem Start durchlaufen wird, ist eine Bereinigung oder Neuinstallation von Windows keine Lösung, um das Rootkit zu entfernen.

Aus weiteren von Kaspersky analysierten Daten geht hervor, dass das Rootkit wahrscheinlich über einen physischen Zugang zum Motherboard implementiert wurde. Das kann über einen direkten Zugriff auf den Rechner erfolgen, oder bei einem Zwischenhändler bei Online-Käufen geschehen.

Ablauf und Problematik eines Rootkits

Die Schwierigkeit ein solches Firmware Rootkit zu entdecken ist der Grund, weshalb es so kompliziert ist zu entwickeln. Die UEFI Malware wird bereits ausgeführt, bevor das Betriebssystem überhaupt in den Arbeitsspeicher geladen wird. Das heißt, der Ablauf erfolgt über sogenannte Hooks, die die nächsten Schritte ausführen.

Es beginnt mit der infizierten Firmware, diese setzt einen eigenen Hook in den Windows Boot-Manager, wodurch der Kernel-Loader modifiziert wird, noch bevor er gestartet wird. Dieser sorgt für die Manipulation einer Windows-Kernels-Funktion. Wenn diese Funktion beim normalen Start des Betriebssystems ausgeführt wird, setzt die Malware einen Shellcode im Speicher ein, um die eigentliche Malware von einem Command & Control Server (C2-Server) zu installieren.

 

Quelle: https://securelist.com/cosmicstrand-uefi-firmware-rootkit/106973/

Zurück

Diesen Beitrag teilen
Weitere Meldungen zum Thema
oben